Ο Wyze ανακάλυψε για ένα ελάττωμα ασφαλείας κάμερας το 2019 και δεν το είπε σε κανέναν

Ο ερευνητής ασφαλείας Bitdefender είπε στο Wyze το 2019 ότι οι χάκερ μπορούσαν να έχουν απομακρυσμένη πρόσβαση στις ροές βίντεο του Wyze Cam, αλλά ο Wyze δεν το είπε σε κανέναν.

Η Wyze πουλά φθηνές έξυπνες κάμερες ασφαλείας από την αρχική Wyze Cam το 2017 και έχει επίσης διακλαδιστεί σε άλλες κατηγορίες προϊόντων (σαν ακουστικά). Ωστόσο, η εταιρεία είχε επίσης το μερίδιο των προβλημάτων της και ένα άλλο σημαντικό ζήτημα ήρθε στο φως - οι χάκερ θα μπορούσαν να αποκτήσουν πρόσβαση στις ροές βίντεο από την Wyze Cams.

Το Bitdefender αποκάλυψε δημόσια μια σειρά από τρωτά σημεία ασφαλείας στις κάμερες ασφαλείας του Wyze την Τρίτη, τα οποία επηρέασαν το Wyze Cam Pan v2 (πριν από την 4.49.1.47), Wyze Cam v2 (πριν από την 4.9.8.1002), Wyze Cam v3 (πριν από την 4.36.8.32) και η αρχική Wyze Cam σε όλο το υλικολογισμικό εκδόσεις. Η πρώτη ευπάθεια, γνωστή ως CVE-2019-9564, επέτρεψε στους χάκερ να παρακάμψουν τη σύνδεση για συσκευές Wyze και να αποκτήσουν πρόσβαση στα χειριστήρια της κάμερας. Το Bitdefender ανακάλυψε επίσης μια ευπάθεια υπερχείλισης buffer στοίβας (

CVE-2019-12266), το οποίο όταν χρησιμοποιείται σε συνδυασμό με το πρώτο ελάττωμα ασφαλείας, μπορεί να χρησιμοποιηθεί για να αποκτήσει απομακρυσμένη πρόσβαση στη ροή βίντεο μιας κάμερας.

Για να επωφεληθείτε από αυτό το ελάττωμα ασφαλείας απαιτείται να γνωρίζετε το αρχικό αναγνωριστικό της κάμερας, το οποίο είναι μια τυχαία συμβολοσειρά που μπορεί να εγγραφεί μόνο αν συνδεθείτε στο ίδιο τοπικό δίκτυο με την κάμερα. Αυτό περιορίζει σημαντικά το εύρος του ελαττώματος ασφαλείας, καθώς ένας χάκερ θα πρέπει πρώτα να αποκτήσει πρόσβαση στο οικιακό σας δίκτυο πριν αποκτήσει πρόσβαση στη ροή βίντεο από μια κάμερα Wyze.

Το κύριο πρόβλημα εδώ δεν είναι στην πραγματικότητα η ευπάθεια ασφαλείας, είναι το πώς το Wyze χειρίζεται την ευπάθεια. Η Bitdefender λέει ότι επικοινώνησε με τον Wyze δύο φορές, πρώτα στις 6 Μαρτίου 2019 και ξανά στις 15 Μαρτίου 2019, και προφανώς δεν έλαβε καμία απάντηση. Τους επόμενους μήνες, η Wyze ενημέρωσε ορισμένες από τις κάμερές της με μια μερική επιδιόρθωση για την ευπάθεια σύνδεσης, χωρίς να ανταποκρίνεται στο Bitdefender. Μόλις τον Νοέμβριο του 2020 ο Wyze επικοινώνησε τελικά με το Bitdefender και οι τελικές διορθώσεις δεν αναπτύχθηκαν μέχρι τον Ιανουάριο του 2022.

Μήνυμα ηλεκτρονικού ταχυδρομείου που στάλθηκε στους πελάτες του Wyze στις 6 Ιανουαρίου 2022 (Πηγή: The Verge)

Όχι μόνο η Wyze δεν ενήργησε γρήγορα και δεν συνεργάστηκε με το Bitdefender για την αντιμετώπιση των ζητημάτων ασφαλείας, αλλά η εταιρεία επίσης δεν αναγνώρισε ποτέ την ευπάθεια στους πελάτες της. είπε ο Wyze Το χείλος ότι η εταιρεία ήταν διαφανής με τους πελάτες της και «διόρθωσε πλήρως το ζήτημα», αλλά η Η αρχική Wyze Cam δεν έλαβε ποτέ μια επιδιόρθωση και η εταιρεία φαίνεται ότι δεν είπε ποτέ στους πελάτες για αυτό το συγκεκριμένο θέμα.

Το Wyze δεν έχει κυκλοφορήσει δημόσια δήλωση σχετικά με τα τρωτά σημεία ασφαλείας του λογαριασμός Twitter ή άλλους λογαριασμούς μέσων κοινωνικής δικτύωσης, από τη στιγμή που δημοσιεύτηκε αυτό το άρθρο.

Πηγή:Το χείλος, Bitdefender